Злоумышленник воспользовался уязвимостью в языке программирования Vyper 0.2.15 и украл деньги в использовавших ее пулах. alETH/msETH/pETH пострадали на $24 млн, а из пула CRV/ETH похитили $21 млн — 7680 ETH и 7.2 млн CRV. Эксплойт грозит активам в $100 млн.
Злоумышленник воспользовался уязвимостью в языке программирования Vyper 0.2.15 и украл деньги в использовавших ее пулах. alETH/msETH/pETH пострадали на $24 млн, а из пула CRV/ETH похитили $21 млн — 7680 ETH и 7.2 млн CRV. Эксплойт грозит активам в $100 млн.
Сообщается, что больше всего пострадали пулы ликвидности на Curve, автоматизированной платформе маркет-мейкера. В компании заявили, что уязвимость была в Vyper — альтернативном стороннем языке программирования для смарт-контрактов Ethereum. Остальные пулы, по словам Curve, не пострадали.
Одной из первых об атаке заявила JPEG’d, компания, предоставляющая услуги по кредитованию NFT. Она позволяет своим пользователям размещать NFT как залог по кредиту. Потери JPEG’d в пуле Curve составили $11 млн, в результате атаки токен JPEG упал примерно на 23% и достиг исторического минимума в $0,000347.
Впоследствии Alchemix и Metronome DAO также сообщили, что потеряли $13,6 млн и $1,6 млн соответственно аналогичным образом.
Описывая ситуацию, в Curve поначалу заявили, что это была обычная атака на «повторный вход». Однако впоследствии компания удалила свой твит и сообщила, что первое впечатление было ошибочным и проблема глубже.
Yep, не read only. No wrongdoing on the side of the projects who integrated, or even users of vyper here
— Curve Finance (@CurveFinance) Июль 30, 2023
Уязвимости «повторного входа» позволяют злоумышленнику впихнуть несколько вызовов в одну функцию и обмануть смарт-контракт, заставив его вычислить неправильный баланс. Одним из самых ярких примеров был взлом DAO Ethereum на $55 млн в 2016 году.
Разработчики Vyper написали в Twitter, что причиной сбоя стал компилятор языка программирования. Как объяснил Меир Долев (Meir Dolev), соучредитель и технический директор кибербезопасности компании Cyvers, эта ошибка компилятора помешала инструментам защиты от «повторного входа» сработать должным образом.
Основателем Curve является российский программист Михаил Егоров. Известно, что у него открытая кредитная позиция по CRV более чем на $70 млн, но эксперты предполагают, что дальнейшее снижение цены может заставить его закрыть свою позицию.
